Académique Documents
Professionnel Documents
Culture Documents
Alain Mouhli - Sécurité Du Périmètre Réseau - Bases de La Sécurité Réseau (2016, Alain MOUHLI)
Alain Mouhli - Sécurité Du Périmètre Réseau - Bases de La Sécurité Réseau (2016, Alain MOUHLI)
SA NAT SA
Internet
10.0.0.3
SA = Source AddressNAT Table
Inside Local
Inside Global
IP Address IP Address
10.0.0.2
192.69.1.1
10.0.0.3 192.69.1.2
Les hôtes interne utilisent différents adresses Ip Registrée, vu par le réseau
externe
11
Port Address Translation
“Inside” Network “Outside” Network
SA NAT SA
10.0.0.210.0.0.2
192.69.1.1
Internet
10.0.0.3
SA = Source AddressNAT Table
Inside Local
IP Address
Inside Global IP Address
10.0.0.2 192.69.1.1:5001 10.0.0.3 192.69.1.1:5002
Traduction multiplixée
Toute les machines externe utilisent une seule adresse IP Vue par le réseau
externe
Le NAT
• Charge: Une charge additionnelle et une complexité pour les routeurs et les
firewalls
• Sécurité: e fouit pas ue suit au i eau appli atif ou si le hôte s’est oe t à u se eu
ali ieu, peut sui ue attaue de outage sou e
• Requière un éditeur NAT pour procéder
– Adresses/Port embarqué: Application avec adresse IP et/ou information
sur le port dans le payload de données (e.g., FTP, ping, DirectPlay, PPTP)
– Back Plane Channels: Application nécessitant des canaux back plane (e.g.,
H.323/NetMeeting, CUSeeMe, VDO Live, IRC, Xing, Rshell)
Les paquets chiffrés: Plusieurs problèmes trouvés avec les VPN L2TP ou
IPsec et autres•
types de chiffrements des applications , sauf si le firewall agit en tant que
terminal VPN
Directive pour le filtrage Adresse IP
• Cacher les réseau Interne avec du NAT
• Rejeter tout paquet subissant un routage source
• Rejete ue adesse destiatio i tee ui tetat de passe l’etieu
• Rejete toute adesse etee de destiatio tetat de passe e l’i tieu
• Rejete toute adesse sou e i tee tetat de passe es l’i tieu
• Rejete toute adesse sou e etee tetat de passe es l’etieu
• Rejeter les adresses sources ou destinations 127.0.0.1
• Rejeter les adresses sources ou destinations 0.0.0.0
• Rejete les ad esses sou es ou destiatios d’adesses IP pi es (10., 172.16-31,
192.168)
• Utiliser les recommnadation du RFC 2267 pour vous protéger des attaques
DDoS
•
Utilser une règle de nettoyage pour rejeter et sauvegarder les paquets qui ne
s’appliuet à ue auue gle
Directives pour le filtrage Applications
• Minimiser le traffic des applications à travers le firewall (inbound)
• Bloquer toutes les applications non nécessaires.
•
Bloue l’as etee au se i es tftp, NF“, NI“, X-Server, SNMP, finger, r-commands,
ICMP (ping, traceroute)
• Bloue l’as etee au pot NBT 135-139, 445 pour les réseaux Windows
• Utilser des passerelles applicatives et un filtrage stateful inspection
•
Mettre le serveur web publique sur un autre système autre que le firewall
(pour les solution Firewall logiciels)
• Placer le DNS interne et le serveur Mail derrière le Firewall
Zone démilitarsiée (DMZ)
•
Les réseaux DMZ fonctionnent comme un petit réseau isolé,placé entre le
réseau non sécurisé et le réseau privé
•
Généralement, les systèmes présents sur le réseau non sécurisé et certains
systèmes du réseau privé peuvent accèder à un nombre limité de services
disponibles dans la DMZ
•
L’ojetif est d’ephe la tasissio de tafi dieteet ete le réseau non sécurisé et le
réseau privé
TTPS
BD Serveur
d’application
Stratégies DMZ
• Switching en utilisant les technologies Vlan, quand possible, est la topologie
DMZ préférée
• Les Hubs doivent être bannis
• Implémentation de Vlan doit être soigneusement conçues pour:
– Protéger le traffic de contrôle (VLAN control channel (802.10q) )
– Miminiser les possibilités de flood de packets
– Fournir des capacité de troubleshooting
Source Destination Protocol Application Action All All UDP All Deny, Log 200.12.34.254 UDP All Deny,Log
PRESENTATION
Router
Proxy Firewall Server(s)
External User
Serveur Proxy Cache
• Utilité primaire pour Optimiser les performances (cache)
•
Les Technologies proxy sont utilisées pour les firewalls avancés,
robuste(passerelle applicative)
• Utilisé pour prendre en charge des fonctionnalités lourdes comme la censure,
l’authe tifi atio des utilisateu s, ifi atio du oteu ali ieu Eploits des navigateurs
web, Java, ActiveX)
•
Le serveur proxy peut avoir des fonctionnalités qui ressemblent à celle du
firewall mais qui ne peut jamais être considérés comme firewall.
•
“i le filtage est applius, les se eu po utilise t les e i foatios de l’et te que les
filtre de paquet
• Ope g aleet au dessus d’u s ste d’eploitatio
Firewall-Proxy au niveau du circuit
• U Po g iue ui ’ispete pas l’i tgit de l’appli atio pas de ot ôle au i eau de l’appli
atio
• Ne nécessite pas de proxy spécial pour chaque service (FTP,HTTP,
Telnet,etc)
• Ce u i uit et e le liet et le se eu sas u’il soit essai e de dispose de oaissaes à
propos du service
• I opoe des tales d’ tat pou opae les does de sessios elati es à ta es les pauets
• Utilise les e i foatio de l’et te de pauets ue les filt e pa pauets, ais plus de
does (numéro de séquence, états de flags)
• Réécrit les paquets
• Ne route pas les paquets entre interface au niveau routage
• Ope g aleet su u s st e d’e ploitatio
• Exemple: Serveur SOCKS
State Tables
APPLICATION
PRESENTATION
SESSION
CIRCUIT GATEWAY TRANSPORT
Filters
&
Connection State
DATA LINK PHYSICAL
Internet
FIREWALL
Hosts
Firewall-Proxy au niveau du circuit
• Propose le niveau de sécurité le plus élevés, car il permet le meilleur niveau de contrôle
• Utilise un proxy different pour chaque application authorisée allouée à travers le firewall
• Fournit des informations sur le type et le volumes de trafic
• Peut ipliue ue authetifiatio de l’utilisateu pou haue se ie
•
Iopoe des tales d’ tat pou opae les sessio de does à t a es les pauets au i eau appliatio, transport/session
•
Inspecte les données des en-tête des couches Réseaux, Transport, Application et parfois des payload de données
• Réécrit les paquets
• Ne route pas les paquets entre les interfaces au niveau routage
• Peut impacter les performances du réseau, car doit analyser les paquets et prendre des décisions en matière de
otçole d’as
• Ope su u s ste d’eploitatio
• Technologie implémentée au niveau des firewalls personnels
•
Peut foui plusieus ieau d’ispetio pofodes pou les appliatios e, Eplaeet idal pou rechercher des codes mobiles et des
virus dans les contenus
• Eeple FTP: atios des utilisateus liites à la seule letue d’u fihie utilisatio de la oade GET ou galeet à l’eitue d’u
fihie utilisatio de la oade PUT
State Tables
APPLICATION APPLICATION GATEWAY PRESENTATION
SESSION
TRANSPORT
Filters,
Connection State, & Application State
DATA LINK PHYSICAL
Internet
Allowed Proxy
Telnet
WebFTP ProxyProxy
Other
External Denied
Network
Hosts
FIREWALL
Filters
Connection State, & Application State
DATA LINK
PHYSICAL StatefulAllowed
Internet
Inspection
Engine
Denied FIREWALL
Stateful Inspection
Comparatif - Pile de protocole
APPLICATION
APPLICATION GATEWAY
PRESENTATION
SESSION CIRCUIT GATEWAY
TRANSPORT
NETWORK PACKET FILTER STATEFUL INSPECTION DATA LINK
PHYSICAL
Comparatif Traitement des données
Packet Filter
Data Link Header
Network (IP)
Header Transport Header ApplicationDATAHeader
Circuit Gateway
Data Link Header
Network (IP)
Header Transport Header
Application
DATA Header
Connection State
Application Gateway
Data Link Header
Network (IP)
Header Transport Header Application
DATAHeader
IDS Hôte
Agent Résidant sur hôte qui détecte les intrusions apparente•
- “ute les jouau d’ ee ts, les fihies s st es itiues et toute aute ressource pouvant
être auditée
- Recherche les modifications non autorisées ou les profils de comportement
ou d’atiit suspets
L’ID“ hôte peut e o e des aletes s’il d tete des ee ts ihaituels Le HIDS
multi-hôte récupère les alertes de plusieurs hôtes
Mthode de oteu d’aal se IDS par reconnaissance de forme
• Rehehe das les pauets etats des suees d’otets spifiue sigatues stokes das ue
ase de does d’attaues oues
• Identifie les attaques connues
• Fouit des i foatios spifiues d’aal se et de pose
• Peut déclencher de faux positifs
• Nécessite de fréquentes mises à jour des signatures
IDS par reconnaissance de séquence
dynamique (Stateful)
• Rehehe les sigatues d’attaues das le ade du flu de tafi et o plus
dans des paquets individuels
• Identifie les attaques connues
• Détecte les signatures réparties sur plusieurs paquets
• Fouit des i foatios spifiues d’aal se et de pose
• Peut déclencher de faux positifs
• Nécessite de fréquentes mises à jour des signatures
IDS basé sur les anomalies statistiques
• D loppe des aleus de f ee de l’atiit et du dit e tafi oal et alerte en cas de
déviation par rapport à ces valeurs
• Peut identifier des attaques inconnues et des vagues de déni de service (DoS)
• Peut se révéler difficile à régler correctement
• Névessite une bonne connaissance des caractéristique du trafic normal
IDS basé sur les anomalies de protocole
• Recherche les écarts par rapport aux standars établis dans le RFC
• Peut identifier les attaques sans signature
• Réduit le nombre de faux positifs avec les protocoles bien maîtrisés
• Peut conduire à de faux positifs et à de faux négatifs avec des protocoles
complexe ou peu maîtrisés
• Le dploiee t des odules d’aal se de p otoole est plus log hez les lie ts que les
signatures
IDS basé sur les anomalies de trafic
“u eille les atiits ihaituelles du tafi,telles ue l’iodatio de •
pauets UDP ou l’appaitio d’u oueau seie su le seau • Peut
identifier les attaques inconnues et les vagues de déni de
service DoS • Peut se révéler difficile à régler correctement •
Nessite ue oe oaissa e de l’ei oee t du taffi «oal »
Anomalies
On entend par anomalie: • Plusieurs tentatives infructueuses
de connexion • La oeio d’utilisateus à des heues izae • Les
odifi atios ieplius d’ologe s ste • Des essages d’eeu ihaituels •
Des arrêts ou redémarrage inexpliqués du système
UPS,RAID et MAID
• “ st es d’alie tatio sas oupu e UP“
– Fouisse t ue sou e d’ali e tatio p ope et stailise.
• Matrice redondante de disques indépendants (RAID) Redundant Array of Independent Disks
–
Augmenter la capacité de stockage: Permet de mettre bout à bout des disques durs, pour accroître la taille du volume.
–
Améliorer les performances : Les données sont écrites sur plusieurs disques à la fois. Ainsi, chacun des disques n’a
qu’une partie des données à inscrire.
–
Intègre une tolérance aux pannes contre les défaillances de disque dur et peut améliorer les performances système.
• Matrice massive de disques inactifs (MAID)
– “e lale à RAID, ho is ue les disues estet e so eil jusu’à e u’ils soiet de oueau utiles.
–
En réduisant le nombre de disques actifs en même temps, il est possible de réduire sensiblement les couts liés au
contrôleur de disque.
RAID0: Le principe est de répartir les données à sauvegarder sur plusieurs disques. L’écriture et la lecture de
données se font à grande vitesse puisqu’on agit en parallèle sur toutes les unités
RAID1: Les données sont écrites de façon redondante et en même temps sur deux disques en miroir afin de
préserver les données en cas de panne physique
RAID3:Cette technique utilise plusieurs disques pour répartir les données à la manière RAID 0 et un disque
supplémentaire pour stocker les bits de parités.
RAID 5: Il s’agit cette fois de découper les fichiers en paquets d’octets de la taille d’un cluster de disque dur, puis
de répartir sur n disques (et non plus n -1 comme en RAID 3 ou 4).
Serveurs redondants
• Conserver un ordinateur inactif redondant disponible pour la
récupération des défaillances - - tolérances aux pannes de serveur
• Fournir un ou plusieurs systèmes complets disponibles au cas où le
système principal tombe en panne.
Mise en grappe (Clustering)
Semblable aux serveurs redondants, hormis que tous les systèmes
participent au • traitement des demandes de service.
• La grappe(cluster) agit comme une unité intelligente unique pour
équilibrer la charge de trafic.
• Plus intéressant que la solution de redondance serveur, car les systèmes
secondaires fournissent effectivement du temps de traitement.
• Augmente sensiblement la disponibilité et les performances.
Sauvegardes
Protègent les informations stockées sur le serveur.•
• Trois types: – Sauvegarde complète : exécute un archivage complet de
chaque fichier. – Sauvegarde différentielle : copie uniquement les fichiers
modifiés depuis la dernière sauvegarde complète. – Sauvegarde
incrémentielle : copie uniquement les fichiers ajoutés ou modifiés
récemment depuis la dernière sauvegarde, complète ou incrémentielle.
Matrice de bandes
Matrice de bandes
Matrice redondante de bandes indépendantes (RAIT)-semblable à la
technique RAID•
Autres techniques: • SCSI • NAS (Stockage en réseau NAS) Network
Attached Storage
• attribue aux données les plus récentes ou les plus importantes les systèmes de
stockages les plus performants, et inversement,